(Actualizado: La compañía ha dejado de utilizar el adware). Que los portátiles que compramos llevan todo tipo de software preinstalado de fábrica, incluido adware, no es sorprendente. Sin embargo, Lenovo ha confirmado haber preinstalado un adware concreto que no solo inyecta anuncios cuando navegamos, también puede hacer que un hacker espíe tu información - y robe datos.

El problema fue detectado primero por los usuarios de nuevos portátiles Lenovo a finales del año pasado en los propios foros de la compañía. El adware, llamado Superfish, viene instalado de fábrica e inyecta anuncios y links patrocinados en algunas páginas que visitamos, como Google, sin darnos cuenta aparentemente. Lenovo reconoció el pasado enero que, efectivamente, incluía este adware en sus portátiles más recientes. No es la única compañía que lo hace, aunque Lenovo explica que puedes optar desactivarlo cuando configuras el portátil por primera vez. Aún así, desde luego no es del todo intuitivo ni transparente. Y lo peor: el problema no acaba ahí.

Este software es capaz de autogenerar certificados SSL para inyectar anuncios y potencialmente acceder a nuestros datos incluso cuando visitamos páginas seguras, como las de nuestro banco. Varios expertos en seguridad han detectado este problema de certificados de seguridad autogenerados por Superfish. Keen White, especialista en criptografía, subió una foto en las últimas horas demostrando el problema: mientras visitaba su página privada del Bank of America, Superfish autogeneró un certificado de seguridad. Esto le permite al programa inyectar anuncios incluso en conexiones seguras, tener acceso a datos privados y, potencialmente, ser una puerta de entrada a un hacker que quiera robar datos tan sensibles como los financieros mediante lo que se conoce como un ataque de intermediario o "man-in-the-middle".

¿Cómo eliminar este adware y los certificados?

Lenovo aseguró el pasado enero que había desactivado el software Superfish hasta que sus creadores pudieran solucionar el problema. Pero eso sería ya en los nuevos portátiles aún por fabricar y vender. ¿Qué ocurre con los que ya están vendidos y en el mercado? La compañía aún no ha ofrecido una solución, ni tampoco una lista concreta de modelos afectados, aunque parece que el software estaba instalado en los portátiles fabricados y vendidos durante los dos últimos años. También, el problema del certificado de seguridad solo afecta en principio si utilizas Chrome o IE, no Firefox, ya que este último mantiene su propio sistema de certificados.

Advertisement

Si has comprado recientemente un portátil Lenovo, lo mejor es revisar si en tus programas hay un software instalado con el nombre de Superfish o alguna de sus otros nombres o versiones, como VisualDiscovery o WindowsShopper, y eliminarlo por completo. El problema es que, según algunos usuarios, desinstalar el programa no elimina el certificado de seguridad autogenerado. Para solucionarlo, tienes que borrar manualmente el certificado SSL instalado sin permiso. ¿Cómo? En el navegador Chrome, debes ir a "Información de Google Chrome>Configuración>Mostrar opciones avanzadas (al final de la página)>HTTPS/SSL>Administrar certificados". Una vez ahí, verás si hay un certificado de Superfish instalado y lo podrás borrar. Si utilizas Internet Explorer, tendrás que ir a "Opciones de Internet>Contenido>Certificados" e igual, borrarlo manualmente.

Gizmodo en Español ha contactado con Lenovo para conocer la explicación oficial de la compañía y qué modelos actuales de portátiles y PC están afectados. [Lenovo Forums vía Engadget y Verge]

Actualización: La compañía ha emitido un comunicado de prensa asegurando que los servidores que daban soporte a Superfish se han desactivado en enero y que, desde esa misma fecha, la compañía ha dejado de instalar este adware en sus equipos de forma permanente. En cualquier caso, Lenovo también recalca que la aplicación no cosecha ningún tipo de información personal:

La tecnología Superfish está completamente basada en imágenes y contexto, no en analizar el comportamiento del usuario. No crea ningún perfil de usuario ni monitoriza la acticvidad. Tampoco graba la información del usuario. No sabe quién es la persona que usa el ordenador, y no rastrea ni convierte al usuario en blanco de nada. Cada sesión es completamente independiente.

Foto apertura: Maksim Kabakou (Shutterstock) y iadams (Shutterstock)

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)